noticiasmedidas de seguridad técnicas RGPD

El Reglamento General de Protección de Datos (RGPD), que empezó a aplicarse en mayo de 2018, supuso un revulsivo para todas las organizaciones (grandes o pequeñas) porque, entre otras cosas, obliga a los encargados del tratamiento de datos personales a adoptar medidas de seguridad técnicas y organizativas apropiadas, que garanticen un tratamiento adecuado y conforme con dicho Reglamento, conocido igualmente como la responsabilidad proactiva.

El incremento en el uso de tecnologías y servicios digitales ha derivado en un elevado volumen de datos personales circulando en Internet, en muchos casos con poco o ningún control. En este contexto, este nuevo reglamento trata de poner orden y restricciones sobre los usos legítimos, así como la forma de custodiarlos adecuadamente.

Principios básicos del RGPD

Según se explica en el reglamento, la responsabilidad proactiva es una forma de actuar que exige a las empresas una actitud consciente, diligente y proactiva en relación a todos los tratamientos de datos personales que efectúen.

Este principio requiere que las organizaciones analicen qué datos tratan, con qué finalidades y qué tipo de operaciones de tratamiento llevan a cabo, definiendo cuáles son las medidas adecuadas en función del riesgo para los derechos y libertades de las personas.

Además deben poder demostrar, tanto ante el interesado, como las autoridades supervisoras, que las medidas se han implantado y funcionan correctamente.

Este principio básico se complementa con estos otros:

  • Principio de licitud, transparencia y lealtad con respecto al interesado, por el cual cualquier tratamiento de datos debe apoyarse en una base que lo legitime. Por ejemplo, para poder facturar al cliente o para comunicaciones comerciales.
  • Principio de limitación de finalidad, por el cual los datos recopilados sólo pueden usarse con una finalidad determinada, explícita y legítima. Por tanto, cuando se recogen datos personales hay que indicar el uso que se les va a dar.
  • Principio de minimización de datos, por el que sólo se solicitarán los datos necesarios para la finalidad declarada. No es necesario recopilar el CIF si no se va a facturar.
  • Principio de exactitud, por el cual se debe garantizar que son exactos y estar actualizados
  • Principio de limitación del plazo de conservación, por el que no se deben conservar datos más allá del tiempo estipulado para el uso declarado.
  • Principio de integridad y confidencialidad, por el cual se obliga a las organizaciones a actuar proactivamente con el objetivo de proteger los datos que manejan frente a cualquier riesgo que amenace su seguridad.

Y es respecto a este último principio donde entran en juego las medidas de seguridad técnicas necesarias para cumplir con el RGPD, ya que son dos de los tres pilares básicos de la ciberseguridad que explicamos en este post.

Medidas de seguridad técnicas

Hoy día, con el uso intensivo que se hace de la tecnología y su implicación en el tratamiento de datos, para garantizar la integridad y confidencialidad de esos datos es necesario aplicar una serie de medidas técnicas.

Según dispone el RGPD en su artículo 32, «las medidas de seguridad que se adoptarán se elegirán en función del estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas»

Si bien el RGPD no establece un listado concreto de medidas de seguridad que deberán ser implantadas en función del riesgo o nivel de seguridad o protección –como sí pasaba con la anterior LOPD–, sí establece que, en todo caso, dichas medidas deben garantizar:

  • La seudonimización y el cifrado de datos personales.
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • La verificación, evaluación y valoración regular de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

Ejemplos de medidas de seguridad RGPD

En base a esas directrices generales, una de las primeras medidas técnicas que se deben implantar en cualquier organización para cumplir con el RGPD es la identificación inequívoca de usuarios, especialmente aquellos que tengan acceso a datos personales.

Identificar usuarios (o autenticación) implica gestionar la identidad digital de forma diligente. Es decir, cada usuario debe estar perfectamente registrado en el sistema, disponer de credenciales únicas (nunca compartidas con otros usuarios) y tener los privilegios de acceso definidos y delimitados (o sea, un proceso de autorización). Esto quiere decir que:

  • Cada usuario debe tener un perfil individual de acceso a datos personales
  • Restringir los derechos de usuarios e identificar qué usuarios tienen derechos de administrador de sistemas
  • Obligar al uso de contraseñas robustas y seguras que se actualicen periódicamente

La segunda medida necesaria es el deber de salvaguardar los datos personales, evitando que se produzcan violaciones de seguridad que dejen expuestos dichos datos. Para ello es necesario como mínimo:

  • Mantener siempre actualizados los dispositivos con los últimos parches de seguridad de sistemas operativos y software, para evitar dejar expuestas vulnerabilidades a través de las cuales puedan ser atacados.
  • Instalar software antivirus o anti malware y mantenerlo actualizado en todos los dispositivos que gestionen datos personales.
  • Cifrar los datos tanto los almacenados como en tránsito. Respecto a los primeros, esto debería ser obligatorio cuando éstos son tratados en dispositivos portátiles, tales como ordenadores portátiles, USB o discos duros externos. En cuanto a los segundos, se refiere disponer de redes WiFi con niveles de seguridad que eviten tanto los ataques internos como los externos.
  • Realizar copias de seguridad periódicas, de forma automatizada y en soportes diferentes a los utilizados para los datos originales.
  • Instalar un cortafuegos que controle las conexiones de entrada a tu red y los flujos de comunicación entre subredes.

Recuerda que, si eres responsable del tratamiento de datos personales, debes garantizar su confidencialidad e integridad, y estás obligado a informar, tanto a los interesados, como a las autoridades, en el caso de tener una brecha de seguridad.

Ahora más que nunca, con la entrada de este Reglamento General de Protección de Datos, es crítico que te tomes en serio la protección de datos personales y que empieces a aplicar las medidas de seguridad técnicas necesarias para su cumplimiento, ya que, de lo contrario, las sanciones pueden llegar a ser tan elevadas que comprometan la viabilidad de tu empresa.

La solución de TECTECO para redes WiFi seguras, permite garantizar la confidencialidad e integridad de los datos personales, así como identificar fehacientemente todos los usuarios y dispositivos conectados a tu red corporativa.